Cryptography Reference
In-Depth Information
Im Tunnelmodus können zwei lokale IP-Netze abgesichert über ein offenes Netz (Internet),
kommunizieren. Neben diesen Gateway-zu-Gateway-Verbindungen wird der Tunnelmodus
auch oft für Client-zu-Gateway-Verbindungen verwendet, bei der sich ein einzelner Rechner
über ein offenes Netz in ein lokales (Firmen-)Netz einklinkt. Eine Client-zu-Client-
Verbindung, bei der an beiden Seiten Tunnel-Ende und Kommunikationsendpunkt zusammen-
fallen, ist im Tunnelmodus ebenfalls möglich, kommt aber in der Praxis eher selten vor. Ein
Vorteil des Tunnelmodus ist, dass bei der Gateway-zu-Gateway-Verbindung in den Gateways
zentral IPsec für alle Rechner in den lokalen Netzen konfiguriert werden kann.
Abb. 6-16: Protokollheader im IPSec Tunnel Mode
Man beachte, dass durch den Authentication-Header (AH) für das gesamte Datenpaket in Abb.
6-16 Authentizität (und Integrität) sichergestellt wird. Der ESP-Header (Encapsulating Securi-
ty Payload) sichert die Authentizität nur für das „innere ESP-Paket“.
6.4.5
Transport-Modus
Abb. 6-17: IPSec Transport Mode
